全球动态

1. 新的物联网基础模块漏洞可能使全球天量设备面临安全风险

社会对技术的依赖程度非常高，预计到2025年，全球使用的互联网连接设备数量将增长到559亿台。这些设备中的许多设备涵盖了工业控制系统(ICS)的各个部分，它们影响着世界。根据2020年IBM X-Force威胁情报指数，自2018年以来，针对这些系统的攻击增加了2000%以上。[阅读原文]

2. 美国运营商即将开始全面关闭3G网络服务

自2002年推出以来大约经历近20年时间后，美国市场即将开始正式告别3G技术。消息显示，美国所有大型无线网络运营商都准备在未来几年内关闭其3G网络。[阅读原文]

3. FBI、CISA对企业虚拟专有网访问凭据攻击“Vishing”带来的威胁发出警告

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)上周四发布联合预警，警告针对公司的语音钓鱼或 "vishing "攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时，KrebsOnSecurity就发表了一篇文章，该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。[阅读原文]

4. 谷歌在Gmail漏洞公布七小时后部署了缓解措施

早在 4 个月前，安全研究员Allison Husain就已经向谷歌通报了一个影响Gmail或G Suite客户的电子邮件欺诈漏洞。尽管给足了137天的时间，谷歌仍在9月份才修复这个 Bug 。在 Allison Husain 将详情公布后不久，谷歌团队就于7小时内在服务器端部署了缓解措施。[阅读原文]

5. 美国政府发布“清洁运营商”名单，强迫全球电信企业选边站队

美国国务院网站发布的关于其“净网计划”（Clean Network）的最新介绍称，全球许多国家正选择只允许可信赖的供应商参与其5G网建设，其中包括英国、捷克共和国、波兰、瑞典、爱沙尼亚、罗马尼亚、丹麦和拉脱维亚等。[阅读原文]

6. ATM供应商Diebold和NCR修复定期存款伪造漏洞

ATM制造商Diebold Nixdorf和NCR已修复了一个可能被利用来进行“存款伪造”攻击的漏洞。这些漏洞允许骗子修改用户卡上的存款金额，即所谓的“伪造存款”，滥用新的帐户余额进行现金诈骗。[外刊-阅读原文]

7. 免费图像网站Freepik披露数据泄露事件，影响830万用户

致力于提供高质量免费照片和设计图形访问的网站Freepik上周披露了一起重大安全漏洞。在用户开始在社交媒体上抱怨他们的收件箱中收到了黑客入侵通知邮件后，该公司正式宣布了这一消息，从而确认了过去几天确实向注册用户发送邮件。[阅读原文]

安全事件

1. Mozilla扩大漏洞赏金计划，提供绕过 Firefox 漏洞缓解措施的奖励

Mozilla 宣布扩大其漏洞赏金计划，增加了一个新的类别，主要是针对 Firefox 中的漏洞缓解、安全功能和防御深度措施的绕过方法。Mozilla 表示，到目前为止，缓解绕过一直被归类为中低严重性问题，但是作为新的 Exploit Mitigation Bug Bounty 的一部分，它们现在有资格获得与高严重性缺陷相关的奖励。[阅读原文]

2. Adobe发布了开源工具Stringlifier来识别随机生成的字符串

Adobe已经发布了一个名为Stringlifier的开源工具，该工具允许用户识别任何纯文本形式的随机生成的字符串，可用于清理日志。Stringlifier工具是用Python编写的，它使用机器学习来识别插入普通文本中的随机字符序列。[外刊-阅读原文]

3. 数千个WordPress WooCommerce商店可能遭受黑客攻击

黑客正在尝试利用WooCommerce WordPress插件折扣规则中的多个漏洞，该插件具以安装30000多次。漏洞列表包括SQL注入，授权缺陷和未经身份验证的存储的跨站点脚本（XSS）安全漏洞。[外刊-阅读原文]

4. Android端自动填充功能现支持生物识别，进一步提高安全性

早在几年前谷歌就已经在 Android 系统中引入了自动填充功能，不过在填充信息的时候从不要求生物识别认证或者密码，因此实施起来并不安全。这意味着人们可以很容易的在未锁设备上使用自动填写功能来登录应用和服务。[阅读原文]

5. PHP 8 Beta 2发布，修复一个内存泄漏bug

PHP 8 Beta 2已经发布，自从进入 Beta 阶段，PHP 8已进入特性冻结期，不会有特性上的变更。此版本修复了一个SPL bug：由于缺少zend_restore_error_handling() 而导致 SplFileInfo 中的内存泄漏。[阅读原文]

优质文章

1. 2020年上半年美国网络安全政策与举措动态

面对疫情与选情的双重夹击，美国政府上半年在网络安全领域的投入力度并未减弱。一方面，顺应网络威胁与技术的发展演变，持续推进既有网络战略，明确防护重点，全面提升攻防能力。另一方面，立足于大国竞争，抢夺主动权，将网络安全问题政治化，殃及网络空间全球战略稳定。[阅读原文]

2. 国家密码管理局《商用密码管理条例（修订草案征求意见稿）》公开征求意见

为了贯彻落实《中华人民共和国密码法》，国家密码管理局起草了《商用密码管理条例(修订草案征求意见稿)》，现向社会公开征求意见。公众可以在2020年9月19日前，通过信函和电子邮件两种途径和方式提出意见[阅读原文]

3. 2020上半年公共互联网网络安全态势及威胁监测处置报告

本报告从互联网网络安全监测数据分析、互联网网络安全状况特点、网络威胁治理工作开展情况三方面，分析并总结了2020年上半年公共互联网络安全监测及威胁处置情况。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。